Ce matin, nous parlions de la fuite de données chez le Slip Français. Nous avons depuis de nouvelles informations, et notamment pu consulter un fichier de « démonstration » des données dérobées. La fuite concerne également des clients « désinscrits ». Contactée, et à défaut de nous apporter des précisions, l’entreprise nous explique que l’enquête « est en cours ». Elle s’engage néanmoins à « informer régulièrement » ses clients.
Dans une communication à ses clients, Le Slip Français reconnait avoir été victime d’un « acte de malveillance informatique » : « le 15 avril dernier nous avons eu connaissance que certaines données personnelles de nos clients ont malheureusement été volées par des hackeurs ».
« Vous êtes désinscrits », mais concernés quand même par la fuite
Pour d’autres clients, un email différent est envoyé. Il précise au début que : « Vous êtes désinscrits de nos bases de données mais nous avons malheureusement été victimes d’un acte de malveillance informatique que nous avons notifié à la CNIL ce jour et dans ce cadre, conformément à la loi, nous nous devons d’informer les personnes susceptibles d’être affectées par cet acte malveillant. Tel est l’objet de la présente communication ».
Abonnez-vous pour tout dévorer et ne rien manquer.
Déjà abonné ? Se connecter
Commentaires (30)
#1
Le RGPD va frapper très fort à mon avis :p
#1.1
Quand tu leur fait la remarque, ca les fait sourire... Alors je ne comprends pas... Toutes les semaines on a des actus du genre, ca met en péril leur société, mais ils n'en n'ont rien à faire visiblement. Ah si il sont heureux de te montrer leur beau Antivirus
Pour le Slip, on doit avoir en face de nous une PME d'une centaine de salariés qui a négligé son changement de CRM/ERP en récupérant des données d'anciens clients, qui doit avoir un budget serré pour son SI, comme la plupart des PME, donc c'est pas forcément fait dans les règles de l'art... Par contre, niveau communication, je ne trouve pas que ce soit mauvais, ils donnent ce qu'on leur à dit qu'ils pouvaient dire et en fonction du peu d'information qu'ils doivent avoir.
Historique des modifications :
Posté le 17/04/2024 à 16h34
Ca ne m'étonne pas plus que ca en fait. Quand je vois les prestataires de logiciels de gestion en tous genres qui utilisent le même mot de passe pour tous leurs clients, le même compte Admin, les mêmes mots de passe de BDD, qui font transiter les le tout en clair dans des échanges et qui te proposent encore des interfaces en FTP..
Quand tu leur fait la remarque, ca les fait sourire... Alors je ne comprends pas... Toutes les semaines on a des actus du genre, ca met en péril leur société, mais ils n'en n'ont rien à faire visiblement. A si il sont heureux de te montrer leur beau Antivirus
Pour le Slip, on doit avoir en face de nous une PME d'une centaine de salariés qui a négligé son changement de CRM/ERP en récupérant des données d'anciens clients, qui doit avoir un budget serré pour son SI, comme la plupart des PME, donc c'est pas forcément fait dans les règles de l'art... Par contre, niveau communication, je ne trouve pas que ce soit mauvais, ils donnent ce qu'on leur à dit qu'ils pouvaient dire et en fonction du peu d'information qu'ils doivent avoir.
#1.2
Note : Content que mon commentaire de ce matin ait été repris en sous-titre.
#1.3
Vivement la prochaine fuite (de données) pour que je puisse prendre ma revanche.
#1.4
#1.5
Sinon "data slipped out" ça a du sens en anglais justement, juste que le jeu de mot marche pas pour les anglophones (encore que Le Slip Français étant une marque, s'ils relayaient l'actu ils n'écriraient pas "The French Briefs", donc ça resterait compréhensible).
Mais je suis fair, le juge a décidé... Je l'aurai un jour, je l'aurai
#1.6
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Historique des modifications :
Posté le 18/04/2024 à 05h15
Et bien sur ce coup-là, t’as eu du ou bien de la chatte !
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
Posté le 18/04/2024 à 05h16
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
Posté le 18/04/2024 à 05h17
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h19
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h20
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h21
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h22
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h24
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (yùq pas une seule icône de chat ici??, pourtant avec Internet... )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h25
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (y'a pas une seule icône de chat ici?? pourtant avec Internet... )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h25
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (y'a pas une seule icône de chat ici?? pourtant avec Internet... )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
#1.7
Toute la comm' est ciblée vers le "pirate" qui a extrait les informations.
Pour le coup les enquêtes semblent soignées, il y en a qui se font rattraper
Mais pas de suites (ou tout du moins pas publiques) sur pourquoi les informations apparemment superflues sont stockées, ou comment elles ont mal été protégées.
Dommage d'ailleurs, car certaines fuites doivent être très croustillantes.
Je regrette que la CNIL n'ai pas une fonction de BEA avec audits post accidents rendus publics.
#2
Heureusement que ce sont que des slips et chaussettes.. (cela n’enlève rien à la gravité des erreurs commises..)
En voyant l’article sur la page d’accueil j’ai tout de suite pensé à Sebastien comme auteur 😁
#2.1
Pas besoin d'être devin : son nom et sa photo sont juste au dessus du titre de l'article.
#2.2
#2.3
Reste l'exception des broderies personnalisées, dont on voit un exemple dans l'article. En l’occurrence, un hacker pourrait exploiter un prénom demandé en broderie pour une attaque de type phishing SMS "stp c'est TRUC, c'est la galère aide moi je suis bloqué, envoie des sous". La capture ne semble toutefois pas préciser le texte qui a été demandé, mais je ne sais pas si ça a été masqué ou si ça n'est juste pas affiché.
Historique des modifications :
Posté le 17/04/2024 à 16h51
Oui on voit les commandes sur le suivi en ligne, ils devraient dans le contexte le bloquer aux non identifiés. Même si c'est pas trop problématique dans le cadre de la gamme de LSF, on sait à peu près à quoi s'attendre.
Reste l'exception des broderies personnalisées, dont on voit un exemple dans l'article. En l’occurrence, un hacker pourrait exploiter un prénom demandé en broderie pour une attaque de type phishing SMS "stp c'est TRUC, c'est la galère aide moi je suis bloqué envoi des sous. La capture ne semble toutefois pas préciser le texte qui a été demandé, mais je ne sais pas si ça a été masqué ou si ça n'est juste pas affiché.
#2.4
#3
Déjà, désinscrites ne signifie pas compte clôturé. On peut avoir un compte "actif" mais être désinscrit de toutes communications.
Ensuite, en tant qu'entreprise, le Slip Français se doit de conserver certains éléments, notamment tout ce qui à trait à la facturation pendant au moins 10 ans (c'est la loi). Que des informations comme les nom, prénom, adresse soient encore stockées n'est donc pas forcément étonnant. De même que le mail peut être utilisé pour répondre aux demandes d'accès aux données personnelles sans forcément avoir besoin de demander de pièces justificatives.
Donc même si certaines personnes n'ont pas eu de contact depuis 2018, si ces personnes avaient commandé sur le Slip Français, il est normal que le Slip Français ait encore des informations les concernant.
On peut bien sur s'interroger sur d'autres aspects, comme la minimisation des données, ou le fait que certains désinscrit se sont soudainement mis à recevoir de nouveau des sollicitations publicitaires, mais cela n'a rien à voir avec la fuite de données à proprement parler.
#3.1
Mais je suis d'accord, ca ne me choque pas qu'un compte soit passé en inactif après 3 ans mais reste en BDD. Après en effet, reste la question de la minimisation, et dans les bonnes pratiques il faudrait faire des revues de comptes tous les ans (automatique ou pas).
Historique des modifications :
Posté le 17/04/2024 à 17h37
Pour les factures, si ce n'est pas de l'archivage probatoire (en PDF par exemple), c'est stocké dans les entêtes de facture, pas besoin du compte client pour ressortir ce type de documents. Heureusement d'ailleurs, car une modification du compte client entre 2 éditions modifierait la facture
Mais je suis d'accord, ca ne me choque pas qu'un compte soit passé en inactif après 3 ans mais reste en BDD. Après en effet, reste la question de la minimisation, et dans les bonnes pratiques il faudrait faire des revues de compte tous les ans (automatique ou pas).
#3.2
On est d'accord ;) Mais pour répondre aux demandes d'accès imposées par le RGPD, c'est beaucoup plus simple pour l'entreprise de conserver le compte client que de ne conserver que les factures ;)
#3.3
Si ce n'est pas fait par réduction de coût, il ne faut pas s'étonner de se faire voler son unique base interne.
#3.4
Classiquement, on distingue 3 états de la donnée :
- en base active : les données sont encore utiles pour l'objectif fixé (par exemple, l'état d'une commande)
- archivage temporaire : les données ne sont plus utiles pour l'objectif fixé (par exemple, la commande est livrée depuis 1 mois). Toutefois, les données peuvent devoir être conservé pour la gestion des litiges, répondre à des obligations légales, etc.
- archivage définitif : il s'agit de données qui ne répondent plus à des enjeux légaux, contentieux, ... mais qui conservent une valeur "stratégique" pour l'entreprise. Depuis le RGPD, la conservation définitif de données à caractère personnelle est généralement impossible (je ne connais aucun cas où cela serait justifié, mais cela doit bien pouvoir se trouver).
Ces 3 états se distinguent par une accessibilité décroissante, mais absolument pas par une séparation physique du stockage (même si, une fois encore, cette séparation peut être mise en oeuvre).
#4
#5
#5.1
#5.2
%C3%89DOUARD A%C3%87ENDI%C3%92
#6
Je n'ai pas reçu de mail de leur part pour cette fuite.
Et par curiosité, quand je tente de me connecté à mon compte, j'ai ce message qui s'affiche sur leur site :
*E-mail ou mot de passe incorrect.
Nous venons de changer de site.
Si votre dernière commande date d’avant le 16 Octobre 2023, CLIQUEZ ICI pour recréer votre compte et retrouver vos commandes.
Sinon, veuillez réinitialiser votre mot de passe en cliquant sur mot de passe oublié.*
Cela signifierait-ils que lors de la migration de leur site, ils auraient supprimé mon compte ? Car mon MDP semble bon vu qu'il est enregistré dans mon gestionnaire de MDP.
#6.1
J'ai recu pour ma part le mail s'adressant au client sans compte (j'imagine que j'ai effectué mes commandes sur le nouveau site sans compte, directement avec paypal ?!)
#7
#7.1
#8
Visiblement ça ne l'était pas il y a quelques jours ?
J'en peux plus de lire cette phrase creuse (ou sa jumelle sur la vie privée)... Ils ont merdé, ils assument, mais qu'ils arrêtent de nous prendre pour des glands !
#8.1
Historique des modifications :
Posté le 18/04/2024 à 07h14
Odalys à fait une communication a ses client hier pour une fuite de donnée hier (17/04)... Il vaut franchement le détour dans le genre foutage de guele...
#9
Bilan : tout un tas de clients HS. Panique chez nos clients, qui appellent pour savoir ce qu'il se passe.
Notre réponse est standard : "on sait, on s'en occupe, on revient vers vous plus tard pour expliquer". C'est normal, l'urgence, c'est de réparer. Après, on communique et on explique.
Donc, je pense qu'il ne faut pas en vouloir au slip français de limiter sa comm à des banalités.
[pour nous, en l'espèce, le pb a été résolu environ 3H plus tard, sans dommage, ouf]
#10